[mindphaser]

Ser precis att någon kommit in på min VPS och installerat något skit som gör att HTTP inte svarar och så ligger det massa skumma filer & mappar på servern:

.veryfied/
www.paypal.com/

Någon har packat upp dessa filer:

tar xvzf ppuser.tgz
tar xzvf sendppz.tgz

och startat

php -f ccb.php

Någon känner igen/och/eller kan hjälpa mig rensa detta enkelt?

/mvh Johan

[patrikweb]

Hehe phishing sida för paypal, är bara att radera och byta lösenord.

Dock värre om det installerats något root backdoor.

[emilv]

Det enda säkra är att försöka luska ut hur de tog sig in (via webbservern, direkt via SSH eller FTP?) och sedan installera om servern. Jag har försökt rensa infekterade servrar för fortsatt drift men om de väl tagit sig in så kan det finnas allt möjligt skräp som är svårt att hitta.

Vill du spara arbete så kan du börja med att täppa till luckan och sedan avvakta och se om attackerna återkommer. Kommer de inte tillbaka så kanske du blivit av med problemet, men annars rekommenderar jag att du installerar om operativsystemet.

[KristianE]

Scanna gärna din maskin med t.ex:
Chkrootkit
Rkhunter

Och även någon antivirusmjukvara för Linux som:
ClamAV

Men en ominstallation med restore till en backup när du vet att allt
var OK är ändå det säkraste.

[mindphaser]

Tack för tipsen. Bytte lösen och namn på mappen som dom tycks anropa remote via HTTP och nu funkar iaf hemsidorna. Ska titta noggrannare imorrn för trött nu.

[Danielos]

Jag antar att du kör tmp för php exekverbar och med apache utan mod_security2 ?

[emilv]

Citat:

Ursprungligen postat av danielos

tmp för php exekverbar

Detta gör ingen skillnad. Ofta drar de igång något Perl-skript via Perl-tolken, och den tar inte hänsyn till huruvida filsystemet är exekverbart eller inte.